Proceedings brought by Ministerio Fiscal.

• Jurisdiction: European Union
• Court: Court of Justice (European Union)
• Date: 02 October 2018

ARRÊT DE LA COUR (grande chambre)

2 octobre 2018 ( *1 )

« Renvoi préjudiciel – Communications électroniques – Traitement des données à caractère personnel – Directive 2002/58/CE – Articles 1er et 3 – Champ d’application – Confidentialité des communications électroniques – Protection – Articles 5 et 15, paragraphe 1 – Charte des droits fondamentaux de l’Union européenne – Articles 7 et 8 – Données traitées dans le cadre de la fourniture de services de communications électroniques – Accès des autorités nationales aux données à des fins d’enquête – Seuil de gravité de l’infraction susceptible de justifier l’accès aux données »

Dans l’affaire C‑207/16,

ayant pour objet une demande de décision préjudicielle au titre de l’article 267 TFUE, introduite par l’Audiencia Provincial de Tarragona (cour provinciale de Tarragone, Espagne), par décision du 6 avril 2016, parvenue à la Cour le 14 avril 2016, dans la procédure engagée par

Ministerio Fiscal,

LA COUR (grande chambre),

composée de M. K. Lenaerts, président, M. A. Tizzano, vice-président, Mme R. Silva de Lapuerta, MM. T. von Danwitz (rapporteur), J. L. da Cruz Vilaça, C. G. Fernlund et C. Vajda, présidents de chambre, MM. E. Juhász, A. Borg Barthet, Mme C. Toader, MM. M. Safjan, D. Šváby, Mme M. Berger, MM. E. Jarašiūnas et E. Regan, juges,

avocat général : M. H. Saugmandsgaard Øe,

greffier : Mme L. Carrasco Marco, administrateur,

vu la procédure écrite et à la suite de l’audience du 29 janvier 2018,

considérant les observations présentées :

– pour le Ministerio Fiscal, par Mme E. Tejada de la Fuente,

– pour le gouvernement espagnol, par M. M. Sampol Pucurull, en qualité d’agent,

– pour le gouvernement tchèque, par MM. M. Smolek et J. Vláčil ainsi que par Mme A. Brabcová, en qualité d’agents,

– pour le gouvernement danois, par M. J. Nymann-Lindegren et Mme M. Wolff, en qualité d’agents,

– pour le gouvernement estonien, par Mme N. Grünberg, en qualité d’agent,

– pour l’Irlande, par Mmes M. Browne, L. Williams et E. Creedon ainsi que par M. A. Joyce, en qualité d’agents, assistés de Mme E. Gibson, BL,

– pour le gouvernement français, par M. D. Colas ainsi que par Mmes E. de Moustier et E. Armoet, en qualité d’agents,

– pour le gouvernement letton, par Mmes I. Kucina et J. Davidoviča, en qualité d’agents,

– pour le gouvernement hongrois, par MM. M. Fehér et G. Koós, en qualité d’agents,

– pour le gouvernement autrichien, par Mme C. Pesendorfer, en qualité d’agent,

– pour le gouvernement polonais, par M. B. Majczyna ainsi que par Mmes D. Lutostańska et J. Sawicka, en qualité d’agents,

– pour le gouvernement du Royaume-Uni, par M. S. Brandon et Mme C. Brodie, en qualité d’agents, assistés de M. C. Knight, barrister, et M. G. Facenna, QC,

– pour la Commission européenne, par Mmes I. Martínez del Peral et P. Costa de Oliveira ainsi que par MM. R. Troosters et D. Nardi, en qualité d’agents,

ayant entendu l’avocat général en ses conclusions à l’audience du 3 mai 2018,

rend le présent

Arrêt

1 La demande de décision préjudicielle porte, en substance, sur l’interprétation de l’article 15, paragraphe 1, de la directive 2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) (JO 2002, L 201, p. 37), telle que modifiée par la directive 2009/136/CE du Parlement européen et du Conseil, du 25 novembre 2009 (JO 2009, L 337, p. 11) (ci-après la « directive 2002/58 »), lu à la lumière des articles 7 et 8 de la charte des droits fondamentaux de l’Union européenne (ci-après la « Charte »).

2 Cette demande a été présentée dans le cadre d’un recours introduit par le Ministerio Fiscal (ministère public, Espagne) contre la décision du Juzgado de Instrucción no 3 de Tarragona (juge d’instruction no 3 de Tarragone, ci-après le « juge d’instruction ») portant refus d’autoriser l’accès de la police judiciaire à des données à caractère personnel conservées par des fournisseurs de services de communications électroniques.

Le cadre juridique

Le droit de l’Union

La directive 95/46

3 Aux termes de l’article 2, sous b), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO 1995, L 281, p. 31), il convient, aux fins de cette dernière, d’entendre par « traitement de données à caractère personnel », « toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction ».

4 L’article 3 de cette directive, intitulé « Champ d’application », prévoit : « 1. La présente directive s’applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier. 2. La présente directive ne s’applique pas au traitement de données à caractère personnel : – mis en œuvre pour l’exercice d’activités qui ne relèvent pas du champ d’application du droit communautaire, telles que celles prévues aux titres V et VI du traité sur l’Union européenne, et, en tout état de cause, aux traitements ayant pour objet la sécurité publique, la défense, la sûreté de l’État (y compris le bien-être économique de l’État lorsque ces traitements sont liés à des questions de sûreté de l’État) et les activités de l’État relatives à des domaines du droit pénal, – effectué par une personne physique pour l’exercice d’activités exclusivement personnelles ou domestiques. »

La directive 2002/58

5 Les considérants 2, 11, 15 et 21 de la directive 2002/58 énoncent : « (2) La présente directive vise à respecter les droits fondamentaux et observe les principes reconnus notamment par la [Charte]. En particulier, elle vise à garantir le plein respect des droits exposés aux articles 7 et 8 de [celle-ci]. [...] (11) À l’instar de la directive [95/46], la présente directive ne traite pas des questions de protection des droits et libertés fondamentaux liées à des activités qui ne sont pas régies par le droit communautaire. Elle ne modifie donc pas l’équilibre existant entre le droit des personnes à une vie privée et la possibilité dont disposent les États membres de prendre des mesures telles que celles visées à l’article 15, paragraphe 1, de la présente directive, nécessaires pour la protection de la sécurité publique, de la défense, de la sûreté de l’État (y compris la prospérité économique de l’État lorsqu’il s’agit d’activités liées à la sûreté de l’État) et de l’application du droit pénal. Par conséquent, la présente directive ne porte pas atteinte à la faculté des États membres de procéder aux interceptions légales des communications électroniques ou d’arrêter d’autres mesures si cela s’avère nécessaire pour atteindre l’un quelconque des buts précités, dans le respect de la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales, telle qu’interprétée par la Cour européenne des droits de l’homme dans ses arrêts. Lesdites mesures doivent être appropriées, rigoureusement proportionnées au but poursuivi et nécessaires dans une société démocratique. Elles devraient également être subordonnées à des garanties appropriées, dans le respect de la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales. [...] (15) Une communication peut inclure toute information consistant en une dénomination, un nombre ou une adresse, fournie par celui qui émet la communication ou celui qui utilise une connexion pour effectuer la communication. Les données relatives au trafic peuvent inclure toute traduction de telles informations effectuée par le réseau par lequel la communication est transmise en vue d’effectuer la transmission. [...] [...] (21) Il convient de prendre des mesures pour empêcher tout accès non autorisé aux communications afin de protéger la confidentialité des communications effectuées au moyen de réseaux publics de communications et de services de communications électroniques accessibles au public, y compris de leur contenu et de toute donnée afférente à ces communications. La législation nationale de certains États membres interdit uniquement l’accès non autorisé intentionnel aux communications. »

6 L’article 1er de la directive 2002/58, intitulé « Champ d’application et objectif », dispose : « 1. La présente directive prévoit l’harmonisation des dispositions nationales nécessaires pour assurer un niveau équivalent de protection des droits et libertés fondamentaux, et en particulier du droit à la vie privée et à la confidentialité, en ce qui concerne le traitement des données à caractère personnel dans le secteur des communications électroniques, ainsi que la libre circulation de ces données et des équipements et services de communications électroniques dans la Communauté. 2. Les...